Différences entre les versions de « Iptables »
De BlaxWiki
Aller à la navigationAller à la recherche (Page créée avec « [https://wiki.blaxeenprod.com/BENPERSO/doc-manuel/system/iptables-tutorial.pdf Tutorial très complet (pris sur http://www.linux-france.org/prj/inetdoc/telechargement/)] [[C... ») |
|||
| (20 versions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
[https:// | __FORCETOC__ | ||
[https://{{SERVERNAME}}/BENPERSO/doc-manuel/system/linux/iptables-tutorial-FR.pdf Tutorial] très complet (pris sur http://www.linux-france.org/prj/inetdoc/telechargement/iptables-tutorial.pdf) | |||
[https://{{SERVERNAME}}/BENPERSO/doc-manuel/system/linux/Iptables-FR.pdf Tutorial bis] | |||
=== Bridge === | |||
Règles pour filtrer les paquets à travers un linux en bridge | |||
<pre> | |||
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -m state --state NEW -m limit --limit 50/s --limit-burst 100 -j ACCEPT | |||
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp ! --syn -j ACCEPT | |||
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -j ACCEPT | |||
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp --dport 20 -j ACCEPT | |||
</pre> | |||
=== Marquage === | |||
Cette [https://{{SERVERNAME}}/BENPERSO/doc-manuel/system/software/iptables_tag_1.0-Fr.pdf doc] est tirée de http://www.rd.cri74.org | |||
=== Nat & FW=== | |||
'''S'assurer que le module iptables_nat est bien chargé & que l'ip forward est activé (echo 1 > /proc/sys/net/ipv4/ip_forward)'''. | |||
On est ici dans le cas d'un firewall linux qui va faire du nat pour un serveur. Au niveau adressage ip | |||
<pre> | |||
# Firewall | |||
Ip back admin : 10.42.30.129 | |||
Ip front (dans le meme subnet que le serveur naté) : 10.42.30.147 (10.42.30.144/28) | |||
Ip publique (pour le nat ) : 217.174.216.9 | |||
# Serveur naté | |||
Ip back admin : 10.42.30.113 | |||
Ip front : 10.42.30.145 (10.42.30.144/28) | |||
</pre> | |||
<pre> | |||
* regles pour les translations ip privees <---------> ip publiques | |||
-A PREROUTING -d 212.43.236.228 -p tcp -j DNAT --to-destination 192.168.1.8 | |||
-A PREROUTING -d 212.43.236.228 -p udp -j DNAT --to-destination 192.168.1.8 | |||
-A POSTROUTING -s 192.168.1.8 -j SNAT --to-source 212.43.236.228 | |||
-A PREROUTING -d 212.43.236.229 -p tcp -j DNAT --to-destination 192.168.1.9 | |||
-A PREROUTING -d 212.43.236.229 -p udp -j DNAT --to-destination 192.168.1.9 | |||
-A POSTROUTING -s 192.168.1.9 -j SNAT --to-source 212.43.236.229 | |||
Pour autoriser une machine en ip privée à utiliser l'autre machine comme gateway et ainsi pouvoir sortir : echo 1 > /proc/sys/net/ipv4/ip_forward | |||
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx (où xxx.xxx.xxx.xxx est l'ip publique de la machine) | |||
</pre> | |||
=== Ftp === | |||
Pour le ftp le modules "nf_conntrack_ftp" doit être chargé dans /etc/sysconfig/iptables-config (IPTABLES_MODULES="nf_conntrack_ftp"), il faut aussi mettre ajouter dans /etc/rc.modules | |||
modprobe nf_conntrack_ftp & modprobe nf_nat_ftp | |||
==== Nat & sortie sur | |||
{{{ | |||
}}} | |||
[[Catégorie:Software]] | [[Catégorie:Software]] | ||
Version actuelle datée du 12 février 2014 à 16:37
Tutorial très complet (pris sur http://www.linux-france.org/prj/inetdoc/telechargement/iptables-tutorial.pdf)
Bridge[modifier]
Règles pour filtrer les paquets à travers un linux en bridge
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -m state --state NEW -m limit --limit 50/s --limit-burst 100 -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp ! --syn -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp --dport 20 -j ACCEPT
Marquage[modifier]
Cette doc est tirée de http://www.rd.cri74.org
Nat & FW[modifier]
S'assurer que le module iptables_nat est bien chargé & que l'ip forward est activé (echo 1 > /proc/sys/net/ipv4/ip_forward).
On est ici dans le cas d'un firewall linux qui va faire du nat pour un serveur. Au niveau adressage ip
# Firewall Ip back admin : 10.42.30.129 Ip front (dans le meme subnet que le serveur naté) : 10.42.30.147 (10.42.30.144/28) Ip publique (pour le nat ) : 217.174.216.9 # Serveur naté Ip back admin : 10.42.30.113 Ip front : 10.42.30.145 (10.42.30.144/28)
* regles pour les translations ip privees <---------> ip publiques -A PREROUTING -d 212.43.236.228 -p tcp -j DNAT --to-destination 192.168.1.8 -A PREROUTING -d 212.43.236.228 -p udp -j DNAT --to-destination 192.168.1.8 -A POSTROUTING -s 192.168.1.8 -j SNAT --to-source 212.43.236.228 -A PREROUTING -d 212.43.236.229 -p tcp -j DNAT --to-destination 192.168.1.9 -A PREROUTING -d 212.43.236.229 -p udp -j DNAT --to-destination 192.168.1.9 -A POSTROUTING -s 192.168.1.9 -j SNAT --to-source 212.43.236.229 Pour autoriser une machine en ip privée à utiliser l'autre machine comme gateway et ainsi pouvoir sortir : echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx (où xxx.xxx.xxx.xxx est l'ip publique de la machine)
Ftp[modifier]
Pour le ftp le modules "nf_conntrack_ftp" doit être chargé dans /etc/sysconfig/iptables-config (IPTABLES_MODULES="nf_conntrack_ftp"), il faut aussi mettre ajouter dans /etc/rc.modules modprobe nf_conntrack_ftp & modprobe nf_nat_ftp
==== Nat & sortie sur
{{{
}}}
